Novo cavalo de Tróia assombra usuários e empresas brasileiras

0

Uma nova ameaça foi descoberta recentemente por mim e pelo time. Ela chegou ao computador do usuário por meio de download, no momento que acessou um website legítimo em WordPress, porém comprometido. Sem desconfiar dos riscos, a vítima foi solicitada a atualizar o java e após iniciar a suposta atualização foi direcionada para o download de um executável hospedado no Google Drive.

O arquivo baixado nada mais é que um dropper (cavalo de tróia), tipo de malware que nem sempre executa ações maliciosas, sua essência é instalar/baixar/executar outros códigos, que de fato possuem as rotinas que causam algum tipo de dano.

Ainda sobre esse cavalo de Tróia, verificamos que durante sua execução é exibida uma tela idêntica à de instalação do java, que começa baixando um script malicioso, o python  e diversos módulos que serão utilizados posteriormente, em seguida adiciona persistência (auto inicialização) e reinicia o computador para então entrar em atividade.

Uma característica interessante sobre o dropper é que, mesmo após quase 30 dias depois da sua descoberta, permanecia com uma baixa taxa de detecção em relação à maioria dos antivírus de mercado. Outro ponto a ser destacado é que há diversos comentários em português no script, podendo indicar ser um malware brasileiro. Esta última informação é reforçada pelo fato dos alvos serem domínios brasileiros em sua grande maioria.

Caso o malware infecte ambientes de empresas, o comportamento da ameaça poderá negativar a reputação do IP corporativo, causando impacto ao negócio, uma vez que diversas soluções de segurança de perímetro, por exemplo, consultam backlists e bloqueiam qualquer tráfego com IP's que constem nestas listas.

Podemos concluir também que não se trata de um ameaça direcionada a um nicho de mercado e que o provável propósito do atacante é usar infraestrutura de terceiros para obter acessos privilegiados em sistemas que estejam mal configurados e possuem senhas fracas, usando tais informações para obter ganho financeiro, seja na venda das informações no mercado negro ou extorsão de empresas através de vazamento de dados.

No geral, é imprescindível investir em prevenção, seja na aquisição de soluções de segurança, seja na criação de rotinas proativas de revisão de configuração e boas práticas para administração das soluções. Além disso, é importante fazer um monitoramento de segurança contínuo, criar/atualizar controles, ter equipes especializadas, inclusive na Resposta a Incidentes de Segurança. Estas ações reduzem significativamente o número de incidentes mais complexos, reduzem custo com recuperação de incidentes e principalmente o impacto ao negócio.

Prevenir é sempre um bom caminho!

Pedro Barreto, pesquisador e incident responder na Real Protect.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.